SDN活⽤による次世代セキュリティ対策〜事例から⾒えてくる導⼊検討のポイント〜

株式会社ネットワールドマーケティング本部 ソリューションマーケティング部

クラウド＆セキュリティソリューション課⽵内 純

1

アジェンダ

1. ネットワールドの概要2. SDN活⽤によるセキュリティ強化3. SDN採⽤事例からみる検討ポイント4. ネットワールドのSDN構築⽀援

2

ネットワールドの概要

3

株式会社ネットワールド 概要

4

設⽴1990年8⽉1⽇ ノベル社等の⽇本国内ディストリビューターとしてスタート

事業モデル製品と共に⾼い付加価値を提供するソリューションズ・ディストリビューター

ビジョン企業ユーザー理想のハイブリッド型を展開する「ハイブリッド・クラウド・イノベーション」を実現

主要戦略製品VMware / Cisco / EMC / NetApp / Microsoft / TrendMicro / IBM / Citrix...

売上⾼785億円（2016年12⽉度）

社員数420名 （うち1/4は技術本部）

メーカー SIer E/U

Service & Support

独⾃商材による差別化・付加価値路線の推進マルチベンダー環境⽀援・技術的アドバンテージ

弊社の主なポートフォリオ ”マルチベンダー・マルチクラウド”

5

Data CenterConverged System

Data CenterNetworking

Data CenterStorage

MobilityVDI BCP/DR

VMstack

Fundamental

Public Cloud Service

Hybrid CloudInfrastructure

Security

SaaSPaaS

SDN活⽤によるセキュリティ強化

6

本⽇のテーマ「SDN」+「セキュリティ」

7

Software-Defined

Networkingソフトウェアによってネットワーク環境を

定義・制御・構築すること

SDNはセキュリティ強化に⾮常に有効です！

8

出典：クラウドWatch「2016年の国内SDN市場は355億円規模に、IDC Japan調査」http://cloud.watch.impress.co.jp/docs/news/1052845.html

SDNのユースケースが市場に認識され始める

代表的なSDNソリューション

9

仮想環境内でSDNを構成 ファブリック中⼼にSDNを構成物理ネットワーク

トンネリング

論理ネットワーク

接続デバイス

ファブリック“Nexus 9000”

ファブリック“Nexus 9000”

コントローラ“APIC”

SDNを実現するための仮想化技術 “VMware NSX”

10

サーバ仮想化サーバ機器が沢⼭ある

(ように⾒せる)

ネットワーク仮想化ネットワーク機器が沢⼭ある

(ように⾒せる)

vSphere + NSXvSphere

仮想化無しアプリケーションと物理サーバは1:1

ネットワーク仮想化によってSDNを実現

[Before] 従来のネットワークにおけるセキュリティ課題

11

脅威侵⼊を境界FWで防ぐ

ネットワーク単位での

セキュリティ

⼊⼝/出⼝ 対策

内部 対策

[Before] ネットワーク設定の課題①ネットワークセグメント

12

ネットワーク追加には個別に作業が必要

ネットワークの単位を大きくして簡素化

本来必要なセキュリティ要件が満たせない

VLAN:10192.168.10.x/24

VLAN:11192.168.11.x/24

VLAN:20192.168.20.x/24

VLAN:21192.168.21.x/24

セキュリティポリシーA

セキュリティポリシーE

セキュリティポリシーB

セキュリティポリシーF

VLAN:100192.168.100.x/24

VLAN:101192.168.101.x/24

セキュリティポリシーC

セキュリティポリシーG

VLAN:110192.168.110.x/24

VLAN:111192.168.111.x/24

セキュリティポリシーD

セキュリティポリシーH

VLAN:10192.168.1.x/24

VLAN:20192.168.2.x/24

VLAN:100192.168.100.x/24

VLAN:110192.168.110.x/24

セキュリティポリシーA

セキュリティポリシーB

セキュリティポリシーC

セキュリティポリシーD

VLANRouting

ACLFW

[Before] ネットワーク設定の課題②セグメント内の通信制御

13

セキュリティポリシーがネットワークに紐づく

実際は運用の観点から細分化が困難

ネットワークに依存したセキュリティにならざるを得ない

セキュリティポリシーA

セキュリティポリシーB

セキュリティポリシーC

セキュリティポリシーD

セキュリティポリシーA

セキュリティポリシーB

理想理想

[After] SDNによるネットワーク&セキュリティの課題解決

14

⼊⼝/出⼝ 対策

内部 対策

脅威拡⼤も論理FWで防ぐ

仮想マシン単位での

セキュリティ

[After] SDNによる課題解決①ネットワークセグメント

15

ネットワーク追加でも物理機器に変更無し

論理ネットワークを効率的に一元管理

細分化されたネットワーク環境が構築可能!

VLANRouting

ACLFW

VXLAN:5001 VXLAN:5002 VXLAN:5003 VXLAN:5004セキュリティポリシーA

セキュリティポリシーB

セキュリティポリシーC

セキュリティポリシーDOS

APPOS

APPOS

APPOS

APP

VXLAN:5005 VXLAN:5006セキュリティポリシーE

セキュリティポリシーFOS

APPOS

APP

VXLAN:5007 VXLAN:5008セキュリティポリシーG

セキュリティポリシーHOS

APPOS

APP

⼟管化(VXLANを通す⽤のVLAN1つでOK)

[After] SDNによる課題解決②セグメント内の通信制御

16

論理的なポリシーが仮想マシンに紐づく

設定の適用自動化で運用やコストを最適化

ネットワークに依存しない

通信制御が実現!

VXLAN:5001

VM1⽤論理ポリシー OS

APP

VM2⽤論理ポリシー OS

APP

VM5⽤論理ポリシー OS

APP

セキュリティポリシーA

VXLAN:5002

VM3⽤論理ポリシー OS

APP

VM4⽤論理ポリシー OS

APP

VM6⽤論理ポリシー OS

APP

セキュリティポリシーA

さらに！SDN化で拡張するセキュリティサービス

17

専⾨ベンダー製品との⾼品質なサービス連携

プラットフォームとしての拡張性

⼊⼝/出⼝ 対策

内部 対策

ネットワークの⾃由なデザインとセキュリティ強化

を両⽴可能

マルウェア対策連携（ネットワーク⾃動隔離）

18

次世代FWとの連携

19

通信内容を精査

NSX Kernel Module

FortiGate

SDN採⽤事例からみる検討ポイント

20

先進的なSDN事例のご紹介

21

事例①東急建設様

22

設⽴ 1946年3⽉12⽇資本⾦ 163億5,444万円業種 総合建設業事業概要東急グループの総合建設会社。都市再開発やインフラ事業など、国内外で⼟⽊、建築事業を幅広く⼿がける。導⼊前までの経緯 導⼊後期待される効果• VMware仮想環境における

ネットワークセキュリティの強化を図ること。

• 柔軟でスピード感のあるネットワーク運⽤を実現すること。

• VMware NSXによるマイクロセグメンテーション化で安全な環境を実現。

• 物理スイッチの設定変更や新たな機器調達の⼯数・コストを削減。

導⼊までの経緯と検討ポイント

23

• インシデント発⽣時の被害を最⼩限にしたい• サーバ台数増加による性能問題を改善したい• 物理スイッチの設定変更の頻度を減少させたい

課題

成果 • 仮想マシン単位のセキュリティ設定が実現• 論理ネットワークで効率的にトラフィック処理• 物理スイッチの作業⼯数や機器台数を削減

本⽇の内容と合わせたSDN適⽤イメージ

24

【新規システム】VXLAN:5001

【既存システム】VXLAN:5002

【検証環境】VXLAN:5012

VM1⽤論理ポリシー OS

APP

物理は⼟管化で管理⼯数を削減

VM2⽤論理ポリシー OS

APP

VM3⽤論理ポリシー OS

APP

VM4⽤論理ポリシー OS

APP

VM5⽤論理ポリシー OS

APP

VM6⽤論理ポリシー OS

APP

・・・

上位物理ルータの折り返し通信を削減

論理FWでセキュリティ強化

NAT,FW,VPNを仮想化してコストダウン

オーバーレイ化で⾃由なネットワークデザイン

事例②⽣活の⽊様

25

設⽴ 1955年9⽉1⽇資本⾦ 1,000万円業種 製造⼩売業事業概要エッセンシャルオイル、アロマ、ハーブ、スーパーフード等の製造販売を⼿がける。導⼊前までの経緯 導⼊後期待される効果•社内で稼動するクライアントPCの運⽤管理負担を軽減すること。•標的型攻撃などによる情報セキュリティリスクを最⼩限に抑えること。

•VDIへの移⾏によりデスクトップ環境の統合⼀元管理と運⽤効率化を実現。•個々の仮想マシンごとに環境を分離し、感染被害の拡⼤を効果的に防⽌。

導⼊までの経緯と検討ポイント

26

• 万が⼀のマルウェア感染被害を最⼩化したい• 2年毎に更新するPC管理⼯数を削減したい• 各店舗の緊急なPC障害に迅速に対応したい

課題

成果 • 仮想マシン単位のセキュリティ設定が実現• ⼀括したポリシー配布による効率化• セキュアなデスクトップを迅速に配布

本⽇の内容と合わせたSDN適⽤イメージ

27

仮想デスクトップネットワーク

仮想サーバネットワーク

VM1⽤論理ポリシー

物理ネットワークには⼤きな変更無し

VM2⽤論理ポリシー

VM3⽤論理ポリシー

VM4⽤論理ポリシー

VM5⽤論理ポリシー OS

APP

VM6⽤論理ポリシー OS

APP

店舗物理PCの管理⼯数削減

論理FWでマルウェアの拡散防⽌

デスクトップ提供の迅速化と集中管理

拠点間接続を⾒据えた基盤構築

ネットワールドのSDN構築⽀援

28

本⽇ご紹介した内容のまとめ

29

従来型セキュリティ = 侵⼊防⽌型

外接ファイアウォールを突破されるとゾーン内外への脅威の拡散が防げない

仮想マシンの粒度でセキュリティポリシーを制御し、カーネルレベルで脅威の拡散をブロック

セキュリティ境界を最⼩限にすることによる仮想マシン単位のセキュリティ管理

マイクロセグメンテーション = 拡散防⽌型

その他SDN活⽤例はカタログをご覧ください！

30

全16ページ

アセスメントサービスもご提供しています

• 以下のようなお客様におすすめ！– ネットワーク仮想化の導⼊を検討しているお客様– 仮想環境のセキュリティ強化⽅法をお探しのお客様– 導⼊済のVMware NSX環境の最適化を検討しているお客様

31

ご訪問から

3週間でご提案！

アセスメントサービスの流れ&お申込み⽅法

• 以下のURLの申し込みフォームからお申込みくださいhttp://www.networld.co.jp/sp/vm_nsx/service_am.html

32

※アセスメント実施にはVMware vSphereのバージョン5.5 Update 2 (Build 2068190)以上または6.0 Update 1b (Build 3380124)以上と、分散仮想スイッチ(vDS)のバージョン5.5以上が必要です。

VMware社のAdvantage+に登録！

vRNIがインストールされた評価機をお貸出し！

SDNソリューションの設計・構築のご⽀援も可能です

33

http://www.networld.co.jp/support/introduction/

分析・調査

概要設計 詳細設計システム

構築

ネットワールド導⼊サービス

• 仮想化関連作業実績(2015年)：75件

• ネットワーク関連作業実績(2015年)：130件超

コンサルティングやシステム構築、当社センターでの検証チェックなど、ニーズに合わせたご提案を致します!

SDNは”SDN Solutions Distributor”にお任せください！

34

Data CenterConverged System

Data CenterNetworking

Data CenterStorage

MobilityVDI BCP/DR

VMstack

Fundamental

Public Cloud Service

Hybrid CloudInfrastructure

Security

SaaSPaaS

SDNに関するお問い合わせ先sdn-info@networld.co.jp

→詳細な製品ご説明、インフラ全般のご相談、お⾒積もり依頼等、お気軽にご連絡ください！